1. ISO 27001
1.1. Es una norma para la definición, implantación y certificacion de SGSI
1.2. OBJETIVO
1.2.1. Es velar por la seguridad y protección de la información
1.3. Al querer obtener la certificación es una buena forma o oportunidad para definir el control y la clasificación de los activos de la organización según su criticidad
1.4. Tener esta certificación demuestra un compromiso inequívoco de la dirección con la seguridad de la información y además facilita la implicación y participación de otro personal en el ss
1.5. APECTOS IMPORTANTES PARA TENER LA CERTIFICACION
1.5.1. COMPROMISO Y SENSIBILIZACION
1.5.2. ORGANIZACION
1.5.2.1. En la primera fase de implantación y lanzamiento del proyecto se establece la estructura organizativa y se garantiza la disponibilidad de los recursos necesarios para el resto de las Fases
1.5.3. ANALISIS DE PROCESOS Y SEVICIOS
1.5.3.1. Hay que tener en cuenta que se analizarán todos los procesos y servicios cubiertos por el sls y para asegurarse el buen funcionamiento de los mismos las interrelaciones que existen entre ellos los activos de información implicados en cada uno
1.5.4. GESTION DE RIESGO CON DIAGNOSTICO
1.5.4.1. Se busca definir las distintas amenazas y vulnerabilidades a las que están expuestos cada uno de los activos analizados valorando el riesgo que supone para cada uno de ellos y estableciendo las medidas de seguridad necesarias para alcanzar los objetivos establecidos
2. ISO 17
2.1. ¿QUE ES?
2.1.1. Es estándar para la seguridad de la información
2.1.1.1. La seguridad de la información deberá de preservarse
2.1.1.1.1. confidencial
2.1.1.1.2. integridad
2.1.1.1.3. Disponibilidad
2.1.1.2. La información es un activo intangible para la organización, existen de muchas formas
2.1.1.2.1. Fisicos (mediante papeles)
2.1.1.2.2. En un USB
2.1.1.2.3. En tu nube
2.2. EXISTEN 10 DOMINIOS PRINCIPALES
2.2.1. POLITICAS DE SEGURIDAD
2.2.1.1. Revisión de las políticas para la seguridad de la información
2.2.2. ASPECTOS ORGANIZATIVOS
2.2.2.1. Establecen la administración de la seguridad de la información como parte fundamental de los objetivos de la información
2.2.3. SEGURIDAD DE LOS RECURSOS HUMANOS
2.2.3.1. Investigar y educar al personal antes de su ingreso y después de forma continua
2.2.4. GESTION DE ACTIVOS
2.2.4.1. Responsabilidad sobre los activos, la clasificación de la información y manejo de los soporte de almacenamiento
2.2.5. CONTROL DE ACCESO
2.2.5.1. Controlar el acceso por medio de una sistema de restricciones y excepciones a la información como base de todo sistema de seguridad informática
2.2.6. CIFRADO
2.2.6.1. Uso de sistema y técnicas criptográficas para la protección de la información para segura una adecuada protección de su con fidelidad e integridad
2.2.7. SEGURIDAD FISICA AMBIENTAL
2.2.7.1. Minimizar el riesgo de daños e interferencias a la información y a las operaciones de la organización, estableciendo zonas seguras
2.2.8. SEGURIDAD DE LAS OPERACIONES
2.2.8.1. Procedimientos y responsabilidades, protección contra malware, resguardo; registro de actividad
2.2.9. SEGURIDAD DE LA COMUNICACIONES
2.2.9.1. Gestión de la seguridad de la red; gestión de las transferencias de información
2.2.10. ADQUISION DE SISTEMAS DESARROLLO Y MANTENIENTO
2.2.10.1. El objetivo es asegurar la inclusión de controles de seguridad y validación de datos en la adquisición y el desarrollo de los sistemas de información